Matriz de SCI, el estado de la v11
En la actualidad, existe una constante evolución en las tecnologías e implementaciones realizadas en los Sistemas de Control Industrial. Unas de las más comunes para la mejora de las infraestructuras de sistemas industriales son la digitalización y el uso de la tecnología cloud. Por otra parte, el aumento de los protocolos de comunicación y los dispositivos IIoT (debido al crecimiento de la Industria 4.0) genera un gran volumen de tráfico difícil de controlar y securizar.
Todos estos aspectos facilitan la realización de ataques sobre las empresas o entidades con procesos industriales, independientemente de su sector y servicio. La existencia de una gran cantidad de amenazas en ICS es una realidad, y sus objetivos pueden ir desde realizar una intrusión en el sistema, el robo de datos o credenciales, la búsqueda y explotación de vulnerabilidades o la deshabilitación del servicio proporcionado, entre otros.
- Ramas de la Industria 4.0; Fuente-
El conocimiento de cómo se realizan dichos ataques es de vital importancia. Para ello, la fuente de datos de MITRE, más concretamente la de tácticas y técnicas de MITRE ATT&CK para entornos industriales, proporciona información muy detallada de ataques realizados sobre estructuras industriales. Esta recopilación de tácticas y técnicas otorga a las organizaciones la capacidad de mejorar su arquitectura y sistemas de defensa para, en caso de recibir un ataque, poder repelerlo o mitigarlo de forma efectiva gracias al conocimiento obtenido previamente.
En este artículo, se pretende mostrar las nuevas tácticas y técnicas incluidas en la Matriz de ICS.
Novedades generales en la Matriz ICS
La Matriz ICS de MITRE ATT&CK ha sufrido cambios desde su implementación inicial, para reflejar los nuevos ataques empleados por los adversarios, desde las técnicas, las tácticas, hasta los procedimientos empleados.
La Matriz ICS constaba inicialmente con once tácticas empleadas por los atacantes: Initial Access, Execution, Persistence, Evasion, Discovery, Lateral Movement, Collection, Command and Control, Inhibit Response Function, Impair Process Control y por último Impact.
A estas tácticas hay que añadir la inclusión de la táctica Privilege Escalation, que actualmente dispone de dos técnicas ya catalogadas y que han sido utilizadas por diferentes atacantes en ataques a infraestructuras con sistemas de control industrial. Estas dos técnicas son: Exploitation for Privilege Escalation y también Hooking.
A mayores, la matriz ATCC&CK ICS de MITRE, en su versión 11, proporciona una visión de las posibilidades del adversario a lo largo del ciclo de vida del ataque, así como también la inclusión de nuevos ejemplos y las relaciones directas entre tácticas, técnicas y casos específicos de ICS. Todo esto se ve cumplimentado con información del DHS y del FBI sobre cómo diferentes actores han utilizado la técnica para realizar el ataque.
-Ciclo de vida de un ataque según la versión 11 de MITRE ATT&CK-
A continuación, se va a detallar en mayor medida tanto la nueva táctica, como las dos técnicas implementadas en la Matriz ICS de MITRE ATT&CK. Además, se introducirán también algunas técnicas actualizadas de las tácticas presentes desde el inicio de la Matriz ICS.
Actualización de tácticas y técnicas
Una de las novedades más importantes de las últimas actualizaciones de la matriz, es la inclusión de la táctica Privilege Escalation. Esta táctica es muy importante para los adversarios, ya que, durante un ataque, el agente que esté haciendo la incursión en el sistema puede tener acceso para explorar la red mediante unos privilegios base, pero requiere de una escalada de privilegios para conseguir objetivos más ambiciosos.
Por lo tanto, esta táctica hace referencia al proceso en el cual, un adversario que tiene un acceso limitado al sistema industrial y que lo ha conseguido gracias a la aplicación de técnicas de la táctica ‘Initial Access’, que podría aumentar el alcance y la escala de sus permisos de acceso.
Por lo tanto, desde la perspectiva de un atacante, esta táctica, será utilizada para ir obteniendo privilegios de forma vertical u horizontal, partiendo de un usuario estándar (más fácil de vulnerar) hasta un usuario con acceso de administrador, root, o incluso al sistema completo. Hay dos tipos de acceso que son el objetivo final de cualquier agente atacante sobre el sistema:
- Acceso NT Authority\System: acceso completo al sistema.
- Acceso al Admin\Dominio: acceso a toda la Red.
Actualmente, se registran gran cantidad de vulnerabilidades, tanto en dispositivos industriales, como en diferentes tipos de software, las cuales permiten a los atacantes realizar una escalada de privilegios.
En la siguiente ilustración, podemos observar el significado gráfico de la escalada de privilegios de forma horizontal y de forma vertical.
-Escala de privilegios horizontal y vertical; Fuente-
- Escala vertical de privilegios: proceso por el cual un atacante o un proceso, obtiene un nivel de acceso más alto del que tenía inicialmente.
- Escalada horizontal de privilegios: en este caso, un atacante o proceso consigue obtener acceso a recursos que normalmente no se encontrarían accesibles. Se trata de una escalada más limitada que la vertical. Para evitar este tipo de ataques, tanto de forma vertical, como horizontal, se pueden implementar algunas medidas de seguridad básicas:
- Reforzar de menos a más: la seguridad de una arquitectura de usuarios es más fuerte cuanto más protegido este su escalón más básico, es decir, los usuarios estándar.
- Reforzar la política de contraseñas: solicitar el cambio cada cierto tiempo, exigir una complejidad mínima y utilizar mecanismos de doble factor de autenticación.
- Creación de usuarios especiales y grupos de usuarios con mínimos privilegios: una correcta administración de usuarios y roles es básica para evitar estos ataques.
- Evitar errores en la programación de aplicaciones que puedan otorgar permisos de administrador de forma errónea.
- Modificación de las credenciales por defecto, ya que habitualmente pueden ser conocidas o calculadas por los atacantes.
- Supervisión y monitorización de los usuarios estándar, en busca de actividades sospechosas.
- Protección de las bases de datos donde se encuentren almacenados los grupos de usuarios.
Las dos técnicas empleadas por los atacantes para conseguir lograr el objetivo de escalar privilegios en el sistema industrial que se incluyeron en la matriz son:
- T0890 Exploitation for Privilege Escalation: técnica mediante la cual los adversarios pueden explotar vulnerabilidades del software para escalar privilegios en el sistema. Esta explotación se da cuando el atacante se aprovecha de un error en la programación de un programa, servicio o del propio sistema operativo para introducir un código malicioso. Algunos ejemplos de procedimientos pueden ser INCONTROLLER y TRITON. Existen diferentes mitigaciones posibles para esta técnica:
- Utilización de Sandboxing.
- Aplicaciones con protección ante ‘exploits’.
- Actualizaciones continuas del software.
- Aplicaciones de ‘Logs’ para un control de accesos.
- T0874 Hooking: técnica mediante la cual los atacantes pueden utilizar y aprovecharse de las funciones de la interfaz de programación de aplicaciones (API) utilizadas para redirigir las llamadas a los medios de ejecución y escalada de privilegios. Algunos ejemplos de procedimientos son TRITON y Stuxnet. También existen posibles mitigaciones para evitar la técnica de Hooking:
- Auditorias, escaneado del sistema y de los permisos.
- Restringir el uso de bibliotecas desconocidas (DDL remotas).
A mayores de la táctica y técnicas descritas, también se han realizado otras modificaciones e implementaciones de las técnicas ya establecidas en la Matriz ICS. A continuación, se muestra la matriz con las actualizaciones realizadas marcadas en rojo.
-Matriz ICS de MITRE ATT&CK en la v.11-
Siendo las novedades más destacables las siguientes:
- T0837 Loss of Protection: mediante esta técnica, el atacante compromete las funciones de seguridad del sistema, pudiendo causar daños en los equipos, interrupciones prolongadas del proceso o riesgos para el personal.
- T0881 Service Stop: técnica por la que el atacante trata de desactivar servicios o sistemas para hacerlos inoperables por parte de los usuarios legítimos.
- T0886 Remote Services: el atacante trata de mantener una conexión remota con el equipo industrial objetivo.
- T0887 Wireless Sniffing: técnica utilizada para tratar de capturar tráfico de radio frecuencias.
Conclusiones
Como se ha visto a lo largo del artículo, los constantes avances en los Sistemas de Control Industrial han generado un interés elevado para diferentes atacantes. Debido a esto, es muy importante el trabajo realizado por MITRE con constantes actualizaciones de las diferentes matrices.
Los ICS están, en muchas ocasiones, embebidos en sistemas o infraestructuras críticas, donde se requiere una especial atención a la seguridad. La Matriz ICS de MITRE ATT&CK permite obtener un conocimiento sobre las tácticas y técnicas más actuales, empleadas por los atacantes. Para las infraestructuras con procesos industriales, esto puede suponer la capacidad para detectar o mitigar ataques de forma eficaz.